NPM kūrėjai
Kenkėjiška veikla buvo siekiama pakenkti „Windows“ naudotojams. Šie failai buvo perduoti iš išorės, įskaitant duomenų bazę su naršymo istorija naršyklėse, pagrįstose „Chromium“ varikliu ir „Discord“ klientu (manoma, kad modulis buvo užblokuotas renkant vartotojo duomenis ir vienu metu galėjo būti pristatytas pavojingesnis kenkėjiškas kodas iš atnaujinimų):
- /AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb
- /AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/discord/Local\x20Storage/leveldb
Šaltinis: opennet.ru